- EFSDump дозволяє легко перевіряти доступ до файлів, зашифрованих EFS, з командного рядка. Команди.
- Це легкий, простий інструмент, сумісний із сучасними версіями Windows, ідеально підходить для фахівців, які керують безпекою в середовищах NTFS.
- Він інтегрує потужні опції для перегляду дозволів користувачів та агентів відновлення, пов'язаних із захищеними файлами.
У цій статті я детально поясню, що таке EFSDump, для чого він використовується, як він працює внутрішньо та коли він може врятувати ваше життя в системному адмініструванні. Незалежно від того, чи ви ІТ-фахівець, спеціаліст із безпеки, чи просто досвідчений користувач, який хоче зрозуміти всі деталі контролю доступу EFS, ось найповніший та найпрактичніший посібник іспанською мовою, який об’єднує всю відповідну інформацію з технічних джерел та надає чіткі, структуровані поради. Приготуйтеся опанувати цей інструмент та отримати реальний контроль над захистом своїх даних у Windows.
Що таке EFSDump і для чого він використовується?
EFSDump — це невелика утиліта командного рядка, розроблена Sysinternals, яка зараз є частиною Microsoft, і яка мала дуже просту мету: негайно та автоматично відображати список облікових записів (користувачів та агентів відновлення), які мають доступ до файлів, зашифрованих EFS, на томах NTFS. До появи EFSDump, якщо ви хотіли перевірити дозволи EFS для кількох файлів або каталогів, вам доводилося переходити через Провідник Windows та переходити по вкладці додаткових властивостей кожного файлу по черзі — ручний, виснажливий та надзвичайно схильний до помилок процес під час роботи з великими обсягами даних.
Gracias EFSDump Ви можете зробити це швидко та масово безпосередньо з консолі, фільтруючи за іменами, розширеннями або навіть застосовуючи символи підстановки до шляхів. Це, по суті, точне та просте рішення для будь-якого завдання перевірки або аудиту доступу до зашифрованих файлів у корпоративному чи особистому середовищі.
- Завантажити з офіційного порталу Microsoft SysinternalsЦе безкоштовно, а завантаження займає менше 200 КБ.
Контекст: EFS у Windows та його проблеми
від Windows 2000 було введено Система шифрування файлів (EFS) у NTFS, що дозволяє користувачам захищати конфіденційну інформацію від сторонніх очей. Внутрішня робота EFS досить ретельна: кожен зашифрований файл інтегрує у свій заголовок те, що можна назвати «секретними полями» (DDF та DRF), де ключі шифрування файлів (FEK) захищений криптографією з відкритим ключем кожним авторизованим користувачем, а також табори для відновлення пов’язані з агентами з відновлення, призначеними політиками компанії.
Це означає Ефективний доступ до кожного зашифрованого файлу може мати більше одного користувача та більше одного агента.Недостатньо, щоб файл був «зеленим» або щоб ви були його власником: адміністратор може несвідомо надати доступ іншим користувачам або службам через помилку чи недбалість. Саме тут EFSDump стає ідеальним союзником, дозволяючи вам переглядати швидко всі чинні дозволи пов'язані з кожним зашифрованим файлом.
Яку інформацію надає EFSDump?
Коли ти біжиш EFSDump на файлі або їх наборі ви отримуєте очистити список усіх користувачів, облікових записів служб та агентів відновлення, пов'язаних із шифруванням цього файлуВнутрішньо утиліта витягує дані за допомогою спеціального API Запит користувачів на зашифрований файл, що фактично «читає між рядків» метаданих заголовка NTFS, щоб дізнатися, хто може розшифрувати вміст.
Таким чином, інструмент надає вам таку інформацію, як:
- Користувачі з прямим доступом до зашифрованого файлу (ті, хто спочатку його зашифрував, або ті, кому було надано додатковий доступ)
- Попередньо визначені агенти відновлення (налаштовується в локальній політиці безпеки або системним адміністратором)
- Ідентифікація кожного облікового запису (ім'я та, де це доречно, ідентифікатор безпеки або SID)
Це дозволяє як системним адміністраторам, так і досвідченим користувачам виявляти неправильні конфігурації, небажаний доступ або потенційні вразливості поки не пізно.
Основні характеристики EFSDump
- Легкий та портативний: Не потрібно встановлювати, просто завантажте та запустіть безпосередньо з консолі.
- Сумісний із сучасними версіями Windows: Його можна використовувати, починаючи з Windows Vista та Server 2008 і пізніших версій.
- Дозволяє рекурсивно сканувати цілі каталоги: Завдяки параметру -s ви можете перевіряти всю структуру папок і підпапок без повторення команд.
- Підтримка шаблонів підстановки: Дозволяє легко вибирати файли за розширенням (наприклад, усі зашифровані файли .docx у папці).
- Чистий та легко інтерпретований вивід: Відображає облікові записи, ідентифікатори SID та агенти відновлення в упорядкованому вигляді для цілей аудиту або звітності.
- Режим тиші: Параметр -q пригнічує повідомлення про помилки або попередження, що корисно для інтеграції EFSDump в автоматизовані скрипти.
Синтаксис та параметри EFSDump
Використання EFSDump досить просте, але, як і будь-якого консольного інструменту, важливо опанувати його синтаксис, щоб отримати від нього максимум користі.
Загальний формат команди:
efsdump <archivo o directorio>- -s: Наказує EFSDump рекурсивно обробляти всі файли в підкаталогах.
- -qПригнічує вивід помилок (тихий режим), ідеально підходить для масивних скриптів або коли ми не хочемо, щоб консоль була заповнена повторюваними повідомленнями.
- : Ви можете вказати або ім'я певного файлу або папки (для перевірки всіх файлів у ній), або шаблон із символами підстановки.
Практичні приклади:
- Щоб перерахувати користувачів, які мають доступ до всіх зашифрованих файлів .docx у вашій папці документів:
efsdump C:\Users\MiUsuario\Documents\*.docx - Щоб перевірити всю папку та її підпапки:
efsdump -s C:\DataCifrada - Щоб виконати команду без повідомлень про помилки, ідеально підходить для сценаріїв:
efsdump -q -s C:\CarpetaSegura
Внутрішня робота та структури NTFS
EFSDump працює безпосередньо з файлами, що зберігаються на розділах NTFS, використовуючи внутрішні поля в заголовку кожного зашифрованого файлу.
У NTFS кожен файл, захищений EFS, містить дві ключові структури:
- DDF (Поля розшифрування даних): Вони зберігають ключі шифрування файлів, зашифровані відкритим ключем кожного авторизованого користувача. Ось фактичний список людей, які можуть безпосередньо отримати доступ до контенту, не маючи системного ключа.
- DRF (Поля відновлення даних): Вони містять зашифровані FEK-ключі, але цього разу з відкритим ключем агентів відновлення, тобто облікових записів, заздалегідь визначених адміністратором для надзвичайних ситуацій або відновлення даних.
Сумісність та вимоги EFSDump
Інструмент Його створив Марк Руссинович., один з найвідоміших розробників Windows у світі та засновник Sysinternals. Хоча спочатку ця утиліта була розроблена для Windows 2000, вона залишається цілком придатною в набагато новіших середовищах:
- Клієнти: Працює на Windows Vista та пізніших версіях, включаючи поточні версії, такі як Windows 10 та 11.
- Сервери: Він сумісний з Windows Server 2008 і вище.
Він не потребує встановлення, не змінює реєстр і не залишає жодних слідів у системі: просто розпакуйте виконуваний файл і відкрийте вікно командного рядка з правами на читання файлів, які ви хочете перевірити. Щоб ознайомитися з іншими інструментами аналізу, ви також можете переглянути Як користуватися Windbg.
Пристрасний письменник про світ байтів і технологій загалом. Я люблю ділитися своїми знаннями, пишучи, і саме це я буду робити в цьому блозі, показуватиму вам все найцікавіше про гаджети, програмне забезпечення, апаратне забезпечення, технологічні тренди тощо. Моя мета — допомогти вам орієнтуватися в цифровому світі в простий і цікавий спосіб.